Menu

Inicio Metodología para Auditar CRMR Checklist y Trazas Entrevistas y Cuestionarios Herramientas y Técnicas Tipos de Prueba

Metodología para realizar auditoria


Definición de metodología: es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática. 

     El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoria, donde se debe identificar de forma clara  las razones por las que se va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación

      En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

  • Evaluación de los sistemas y procedimientos. 
  • Evaluación de los equipos de cómputo.



El método de trabajo del auditor pasa por las siguientes etapas: 

Alcance y Objetivos de la Auditoría Informática:
Definición de Alcance y Objetivos alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

Estudio inicial del entorno auditable: Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente:


  • Organización Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: 

1) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia
  • Entorno Operacional 
  1. Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección.
  2. Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.
  3.  Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. 
  4. Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas
  • Entorno Operacional: 
  1.  Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
  2.  Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.
  3. Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, entre otros.
  • Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: Volumen, antigüedad y complejidad de las Aplicaciones Metodología del Diseño.Se clasificará globalmente la existencia total o parcial de metodologia en el desarrollo de las aplicaciones Cantidad y complejidad de Bases de Datos y Ficheros. El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías
 Determinación de los recursos necesarios para realizar la auditoría        Determinación de recursos de la auditoria Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoria.

Elaboración del plan y de los Programas de Trabajo
      Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan del trabajo. Decidido éste, se procede a la programación del mismo.


Actividades propiamente dichas de la auditoría
      Auditoria por temas generales o por áreas específicas: La auditoria Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.


Confección y redacción del Informe Final
      La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. 
Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

        Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: 
  • Situación actual. Se expondrá la situación prevista y la situación real del lugar.
  • Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras
  • Puntos débiles y amenazas. 
  • Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoria informática. 
  •  Redacción posterior de la Carta de Introducción o Presentación.



Redacción de la Carta de Introducción
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:

  • Tendrá como máximo 4 folios.
  • Incluirá fecha, naturaleza, objetivos y alcance
  • Cuantificará la importancia de las áreas analizadas. 
  • Proporcionará una conclusión general, concretando las áreas de gran debilidad. 
  • Presentará las debilidades en orden de importancia y gravedad
  • En la carta de Introducción no se escribirán nunca recomendaciones. 








Publicadas por